Documente Academic
Documente Profesional
Documente Cultură
pentru aprobarea Normelor tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de
servicii esenţiale
Având în vedere dispoziţiile art. 20 lit. b) şi s) şi ale art. 25 alin. (1) şi (3) din Legea nr. 362/2018 privind asigurarea unui nivel comun ridicat de securitate a
reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare,
în temeiul art. 7 alin. (6) din Hotărârea Guvernului nr. 137/2020 privind organizarea, funcţionarea şi atribuţiile unor structuri din cadrul aparatului de lucru al
Guvernului,
Art. 1 - Se aprobă Normele tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii
esenţiale, prevăzute în anexa care face parte integrantă din prezentul ordin.
Art. 2 - În vederea îndeplinirii termenului de conformare de 6 luni prevăzut la art. 10 alin. (4) din Legea nr. 362/2018 privind asigurarea unui nivel comun
ridicat de securitate a reţelelor şi sistemelor informatice, cu modificările şi completările ulterioare, operatorii de servicii esenţiale aplică normele tehnice privind
cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale.
Art. 3 - În aplicarea art. 32 alin. (5) din Legea nr. 362/2018, cu modificările şi completările ulterioare, se va ţine seama de Normele tehnice privind cerinţele
minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale, prevăzute la art. 1.
Art. 4 - Prezentul ordin se publică în Monitorul Oficial al României, Partea I.
Anexă
NORME TEHNICE
privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice aplicabile operatorilor de servicii esenţiale
Cap. I
Dispoziţii generale
Art. 1 - Aplicabilitate
Prezentele norme tehnice privind cerinţele minime de asigurare a securităţii reţelelor şi sistemelor informatice, denumite în continuare norme, sunt aplicabile
operatorilor de servicii esenţiale şi au ca obiect asigurarea unui nivel comun de securitate a reţelelor şi sistemelor informatice.
Art. 2 - Termeni, abrevieri şi domenii de securitate
(1) În stabilirea cerinţelor minime de asigurare a securităţii reţelelor şi sistemelor informatice se utilizează următoarele domenii de securitate:
1. guvernanţă - obiectivele domeniului sunt: elaborarea şi implementarea politicilor de securitate la nivelul organizaţional; angajamentul managementului de
nivel înalt al organizaţiei în asigurarea sistemului de management al securităţii informaţiei; gestionarea managementului riscurilor privind ameninţările,
vulnerabilităţile şi riscurile identificate;
2. protecţie - obiectivele domeniului sunt: asigurarea securităţii reţelelor şi sistemelor informatice, securitatea fizică şi a persoanei; administrarea şi mentenanţa
resurselor reţelelor şi sistemelor informatice; controlul accesului la elementele/componentele reţelelor şi sistemelor informatice;
3. apărare cibernetică - obiectivele domeniului sunt: asigurarea managementului incidentelor de securitate; detectarea şi tratarea incidentelor de securitate care
afectează securitatea reţelelor şi sistemelor informatice;
4. rezilienţă - obiectivele domeniului sunt: managementul continuităţii serviciilor esenţiale furnizate; gestionarea situaţiilor de criză, în special a incidentelor de
securitate care au un impact major asupra serviciilor esenţiale.
(2) Termenii şi abrevierile utilizate în prezentele norme tehnice sunt prevăzute în anexa nr. 1.
(3) Domeniile de securitate se împart, la rândul lor, în categorii de activităţi de securitate, iar pentru fiecare dintre acestea sunt stabilite măsuri de securitate cu
una sau mai multe cerinţe de securitate, care, la rândul lor, conţin indicatori de control.
(4) În procesul de implementare a cerinţelor de securitate, OSE identifică riscurile privind neimplementarea, planifică activităţile care stau la baza implementării
şi stabileşte responsabilii pentru realizarea acestora.
Cap. II
Guvernanţă [A]
Secţiunea 1
Managementul securităţii informaţiei [A1]
Secţiunea a 2-a
Managementul ecosistemului [A2]
Cap. III
Protecţie [B]
Secţiunea 1
Managementul arhitecturii [B1]
Secţiunea a 2-a
Managementul administrării [B2]
Secţiunea a 3-a
Managementul identităţii şi accesului [B3]
Secţiunea a 4-a
Managementul mentenanţei [B4]
Secţiunea a 5-a
Managementul securităţii fizice [B5]
Cap. IV
Apărare cibernetică [C]
Secţiunea 1
Managementul detecţiei [C1]
Secţiunea a 2-a
Managementul incidentelor de securitate [C2]
Cap. V
Rezilienţă [D]
Secţiunea 1
Managementul continuităţii afacerii [D1]
Art. 34 - Asigurarea disponibilităţii serviciului esenţial şi a funcţionării reţelelor şi sistemelor informatice [D11]
(1) Cerinţe de securitate
[D111]. Asigurarea disponibilităţii. În conformitate cu PONIS, OSE defineşte o procedură privind managementul asigurării disponibilităţii serviciului esenţial,
în caz de incident de securitate cibernetică.
(2) Indicatori de control. PRADE.
Art. 35 - Managementul recuperării datelor în caz de dezastre [D12]
(1) Cerinţe de securitate
[D121]. Recuperarea datelor. În conformitate cu PONIS, OSE defineşte o procedură privind managementul recuperării datelor în caz de dezastre, precum şi în
caz de incidente severe de securitate cibernetică.
(2) Indicatori de control. PROMRE.
Secţiunea a 2-a
Managementul crizelor [D2]
Cap. VI
Dispoziţii finale
Anexa Nr. 1
la Normele tehnice
GLOSAR
Termeni şi abrevieri
ANSRSI - autoritatea competentă la nivel naţional pentru securitatea reţelelor şi sistemelor informatice
ARNIS - analiza riscurilor de securitate a reţelelor şi sistemelor informatice, document elaborat la nivelul OSE, prin care sunt identificate elementele critice care
stau la baza furnizării serviciului esenţial şi sunt identificate principalele riscuri în vederea gestionării şi diminuării acestora
ANISMS - analiza riscurilor de securitate şi implementarea măsurilor de securitate pentru limitarea accesului neautorizat
ATECNIS - analiză tehnică cu privire la compromiterea securităţii reţelelor şi sistemelor informatice
CEISC - cerinţe de securitate specifice pentru sistemele de control industrial
COSE - contractele de servicii sau furnizare servicii externe
DANIS - decizia de acreditare; decizie formală luată de managementul de nivel înalt al OSE
ECUPA - evidenţa conturilor pentru utilizatori şi pentru procesele automatizate
IEC - indicatori de evaluare, pe baza cărora OSE îşi evaluează conformitatea cu PONIS
INCEA - instrumente necesare pentru conştientizarea şi educarea angajaţilor cu privire la tipurile de ameninţări de securitate informatică şi măsurile de protecţie
corespunzătoare în vederea limitării incidentelor
ISC - sisteme de control industriale
JIERUA - jurnalele de înregistrare a evenimentelor produse de resursele utilizate pentru administrare. Jurnalele sunt constituite şi ţinute sub formă electronică
sau pe hârtie.
LASMA - listă cu acorduri la nivel de serviciu şi/sau mecanisme de audit a reţelelor şi sistemelor informatice
LASPO - lista activelor, sistemelor şi proceselor organizaţiei
LICA - lista conturilor de administrare
LICPA - lista conturilor privilegiate pe nivele de acces şi funcţionalităţi accesabile
LIRIE - lista riscurilor potenţiale identificate şi evaluarea acestora în furnizarea serviciilor esenţiale. Riscurile sunt reprezentate de relaţiile cu părţile interesate
ale ecosistemului
LIRNIS - lista responsabililor NIS
MACC - managementul cheilor de criptare; proces prin care se asigură producerea, utilizarea şi evidenţa materialului criptografic, inclusiv cheile de criptare
MANIS - mapa de acreditare de securitate; document în baza căruia se emite DANIS
MEAUP - mecanism de autentificare pentru utilizatori şi procese automatizate la resursele reţelelor şi sistemelor informatice
MEGRE - metodologie de gestionare a riscurilor furnizării serviciilor esenţiale, document prin care este prezentat procesul de evaluare a riscurilor operatorului
economic, criteriile de analiză, de acceptare şi de reducere a riscurilor
MEIEC - metoda de evaluare a indicatorilor de conformitate
NIS - reţele şi sisteme informatice
OSE - operator de servicii esenţiale
PEANIS - procesul de acreditare stabilit în PONIS prin care OSE acreditează NIS utilizate în furnizarea serviciilor esenţiale, inclusiv componentele de
administrare
PEGEC - procese de gestionare a crizelor; documente prin care OSE stabileşte procesele şi modurile de implementare în caz de incidente de securitate
cibernetică pentru asigurarea continuităţii activităţilor organizaţionale
PEIREV - proces de identificare, clasificare, remediere şi eliminare a vulnerabilităţilor, în special în software şi firmware, la nivelul reţelelor şi sistemelor
informatice
PGMAVU - program pentru managementul vulnerabilităţilor în reţelele şi sistemele informatice
PONIS - politica de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale
PPSIA - plicul cu parole utilizate pentru sisteme informatice de administrare a reţelelor şi sistemelor informatice
PRADE - procedură privind managementul asigurării disponibilităţii serviciului esenţial, în caz de incident de securitate cibernetică
PRAPC - procedură pentru asigurarea protecţiei criptografice pentru informaţii şi resurse
PRAPMA - procedură pentru asigurarea protecţiei malware
PRASA - program de prezentare a securităţii pentru tot personalul
PRASI - procedură privind accesul şi securitatea resurselor şi informaţiilor
PGASP - program de asigurare a securităţii personalului; document prin care OSE identifică obiective şi stabileşte cerinţe de securitate pentru fiecare etapă a
relaţiei avute de către angajaţi
PRECAS - procedură privind evaluarea conformităţii NIS şi efectuarea auditului de securitate a reţelelor şi sistemelor informatice
PRECDI - procedură privind etichetarea şi clasificarea datelor şi informaţiilor
PRIMSA - procedură pentru gestionarea informaţiilor primite şi, după caz, a măsurilor de securitate adoptate pentru protejarea NIS
PRISA - program de instruire în domeniul securităţii pentru angajaţii care utilizează reţelele şi sistemele informatice care stau la baza furnizării serviciilor
esenţiale
PRISAC - procedură de interconectare la serviciul de alertare şi cooperare al CERT-RO
PROCIS - procedură privind organizarea gestionării crizelor în caz de incidente de securitate cibernetică pentru asigurarea continuităţii activităţilor
organizaţionale
PRODAIS - procedură pentru detectarea incidentelor de securitate care afectează reţelele şi sistemele informatice
PROFIT - procedură privind filtrarea traficului
PROLD - procedură privind lucrul la distanţă
PROMNIS - procedură pentru menţinerea securităţii reţelelor şi sistemelor informatice
PROMRE - procedură privind managementul recuperării datelor în caz de dezastre, precum şi în caz de incidente severe de securitate cibernetică
PRORAI - procedură pentru gestionarea, răspunsul şi analiza incidentelor care afectează funcţionarea sau securitatea reţelelor şi sistemelor informatice
PRORIS - procedură pentru raportarea incidentelor de securitate
PRORUVI - procedură pentru reducea riscurilor legate de utilizarea unei versiuni învechite
PROSES - procedură privind segregarea şi segmentarea reţelelor şi sistemelor informatice utilizate pentru furnizarea serviciilor esenţiale
PROSRE - procedură de stabilire a relaţiilor ecosistemului; documentul include interconexiunile (relaţiile externe) între reţelele şi sistemele informatice şi terţi
PRUSIA - procedură privind utilizarea sistemelor informatice de administrare
PRUSME - procedură privind utilizarea suporţilor de memorie externă
RAEC - raport de evaluare a conformităţii
RAIPOD - raport privind implementarea politicii de securitate a reţelelor şi sistemelor informatice care asigură furnizarea serviciilor esenţiale şi a documentelor
de aplicare a acesteia
RASNIS - raport de audit de securitate a reţelelor şi sistemelor informatice
RATES - raport de testare şi evaluare a securităţii reţelelor şi sistemelor informatice
RERO - registrul de risc organizaţional
RESME - registre de evidenţă a suporţilor de memorie externă
SACNIS - serviciul de alertare şi cooperare al CERT-RO
SANIS - schema arhitecturii reţelelor şi sistemelor informatice folosite la furnizarea serviciilor esenţiale
SCAJ - sistem de corelaţie şi analiză de jurnal
SIA - sisteme informatice de administrare a reţelelor şi sistemelor informatice
SICAE - situaţia cartografică a ecosistemului; document prin care se realizează stabilirea şi identificarea ecosistemului care stă la baza furnizării serviciului
esenţial atât NIS, cât şi alte componente. De asemenea include, dar fără a se limita la acestea, părţi interesate, interne şi externe, şi furnizori, în special cei cu acces
la NIS sau la gestionarea activelor critice ale operatorului economic.
SIDGI - sistem informatic dedicat pentru gestionarea incidentelor
SIEM - managementul monitorizării, cercetării şi identificării rapide a principalelor cauze de afectare a securităţii, precum şi ale încălcării politicilor de
securitate
SIENIS - sistem de înregistrare evenimente la nivelul reţelelor şi sistemelor informatice
SIVMOC - sistem de verificare a potenţialelor modificări ale unui cont privilegiat
SMMEIS - sistem de monitorizare şi management al evenimentelor şi incidentelor de securitate
SMSI - sistemul de management al securităţii informaţiei
SNIS - securitatea reţelelor şi sistemelor informatice
Anexa Nr. 2
la Normele tehnice
GRILA DE CORESPONDENŢĂ
privind implementarea şi auditarea cerinţelor minime de securitate
Domenii de securitate Categorii de activităţi Măsuri de securitate [MS] Cerinţe de securitate [CS] Indicatori de control [IC]
[D] de securitate [C]
Denumire ID Denumire ID Denumire ID Denumire ID Denumire ID
GUVERNANŢĂ A Managementul A1 Analizarea şi A11 Analiza riscurilor de securitate A111 ARNIS I01
securităţii evaluarea riscurilor Gestionarea riscurilor de A112 MEGRE I02
informaţiei securitate
Evaluarea riscurilor de securitate A113 RERO I03
Realizarea planurilor A12 Politica de securitate A121 PONIS I04
de securitate. Politica SMSI I05
de securitate Implementarea politicii de A122 RAIPOD I06
securitate
Acreditarea de A13 Acreditarea reţelelor şi A131 PEANIS I07
securitate sistemelor informatice DANIS I08
MANIS I09
Revizuirea validării acreditării de A132 DANIS I08
securitate MANIS I09
Indicatori de A14 Indicatori de securitate A141 IEC I10
securitate Metode de evaluare a securităţii A142 MEIEC I11
Verificarea A15 Evaluarea conformităţii A151 PRECAS I12
conformităţii cu RAEC I13
privire la securitatea Auditul de securitate A152 RASNIS I14
informaţiei. Audit de
securitate
Testarea şi evaluarea A16 Testare şi evaluare securitate A161 RATES I15
securităţii reţelelor şi ATECNIS I16
sistemelor
informatice
Asigurarea securităţii A17 Asigurarea securităţii A171 PRASP I17
personalului personalului FP I18
CIM I19
CCM I20
Verificarea înţelegerii A172 ISA I21
responsabilităţilor VCSA I22
COSE I23
Conştientizarea şi A18 Instrumente de conştientizare A181 INCEA I24
instruirea Instruirea şi prezentarea A182 PRASA I25
utilizatorilor securităţii PRISA I26
Gestionarea activelor A19 Inventarierea şi gestionarea A191 LASPO I27
activelor PRECDI I28
Managementul A2 Cartografierea A21 Descrierea ecosistemului A211 SICAE I29
ecosistemului ecosistemului LIRIE I30
Relaţiile A22 Stabilirea relaţiilor ecosistemului A221 PROSRE I31
ecosistemului Acorduri la nivel de serviciu A222 LASMA I32
PROTECŢIE B Managementul B1 Managementul B11 Arhitectura NIS B111 SANIS I33
arhitecturii configuraţiei reţelelor Instalarea echipamentelor şi B112 ARNIS I01
şi sistemelor serviciilor MANIS I09
informatice
B12 Suporţi de memorie externă B121 PRUSME I34
Managementul RESME I35
suporţilor de memorie
externă
Segregarea şi B13 Segregarea şi segmentarea B131 PROSES I36
segmentarea reţelelor SANIS I33
şi sistemelor
informatice
Filtrarea traficului B14 Filtrarea fluxurilor B141 PROFIT I37
ARNIS I01
Asigurarea protecţiei B15 Asigurarea protecţiei B151 PRAPC I38
produselor şi criptografice
serviciilor aferente Managementul cheilor de B152 MACC I39
reţelelor şi sistemelor criptare
informatice
Protecţia împotriva B16 Protecţie malware B161 PRAPMA I40
malware
Managementul B2 Administrarea B21 Conturi de administrare B211 LICA I41
administrării conturilor
Administrarea B22 Utilizarea sistemelor de B221 PRUSIA I42
reţelelor şi sistemelor administrare PONIS I04
informatice Parole administrare B222 JIERU I43
PPSIA I44
Managementul B23 Lucrul la distanţă B231 PROLD I45
accesului de la PRAPC I38
distanţă
Managementul B3 Managementul B31 Identificarea utilizatorilor B311 ECUPA I46
identităţii şi identificării şi ARNIS I01
accesului autentificării MANIS I09
utilizatorilor Autentificarea utilizatorilor B312 MEAUP I47
Managementul B32 Acordarea drepturilor de acces B321 PONIS I04
drepturilor de acces LICPA I48
LICA I41
Verificarea conturilor B322 SIVMOC I49
privilegiate
Managementul B4 Mentenanţa reţelelor B41 Menţinere securitate B411 PROMNIS I50
mentenanţei şi sistemelor Actualizare resurse B412 PRORUVI I51
informatice PONIS I04
MANIS I09
Protejare resurse B413 PRAPC I38
Sisteme control B42 Sisteme de control industriale B421 CEISC I52
industrial. SCADA - Limitarea accesului B422 ANISMS I53
Monitorizare, control
şi achiziţii de date
Managementul B5 Asigurarea protecţiei B51 Acces la resurse B511 PRASI I54
securităţii fizice fizice a reţelelor şi
sistemelor
informatice
APĂRARE C Managementul C1 Managementul C11 Fluxul alertelor de securitate C111 PRODIS I55
CIBERNETICĂ detecţiei vulnerabilităţilor şi SIENIS I56
alertelor de securitate MANIS I09
Evaluarea şi monitorizarea C112 PEIREV I57
vulnerabilităţilor PGMAVU I58
ARNIS I01
Înregistrarea C12 Monitorizare evenimente C121 SIENIS I56
evenimentelor Sisteme de management C122 SIEM I59
Jurnalizarea şi C13 Jurnalizare şi trasabilitate C131 SCAJ I44
asigurarea
trasabilităţii
activităţilor în cadrul
reţelelor şi sistemelor
informatice
Managementul C2 Răspuns la incidente C21 Fluxul incidentelor C211 PRORAI I60
incidentelor de de securitate Monitorizarea incidentelor C212 SMMEIS I61
securitate Gestionarea incidentelor C213 SIDGI I62
Raport incidente C22 Raportarea incidentelor C221 PRORIS I63
Comunicarea cu C23 Interconectare naţională C231 PISAC I64
Autoritatea Responsabili NIS C232 LIRNIS I65
competentă la nivel Gestionare informaţii primite de C233 PRIMSA I66
naţional pentru la CERT-RO
securitatea reţelelor şi
sistemelor
informatice
(ANSRSI) şi CSIRT
Naţional
REZILIENŢĂ D Managementul D1 Asigurarea D11 Asigurarea disponibilităţii D111 PRADE I67
continuităţii disponibilităţii
afacerii serviciului esenţial şi
a funcţionării
reţelelor şi sistemelor
informatice
Managementul D12 Recuperarea datelor D121 PROMRE I68
recuperării datelor în
caz de dezastre
Managementul D2 Organizarea D21 Organizarea gestionării crizelor D211 PROCIS I69
crizelor gestionării crizelor cibernetice
Procesul de D22 Gestionarea crizelor cibernetice D221 PEGEC I70
gestionare a crizelor
_____________